Millionen E-Mails des US-Militärs wurden durch ein „Tippfehlerleck“, das hochsensible Informationen offenlegte, darunter diplomatische Dokumente, Steuererklärungen, Passwörter und Reisedaten hochrangiger Offiziere, fehlgeleitet nach Mali weitergeleitet.
Trotz wiederholter Warnungen über ein Jahrzehnt hinweg fließt weiterhin ein stetiger E-Mail-Verkehr zur .ML-Domain, der Länderkennung für Mali, da sich Personen bei der Eingabe von .MIL, dem Suffix aller E-Mail-Adressen des US-Militärs, vertippt haben.
Das Problem wurde erstmals vor fast einem Jahrzehnt von Johannes Zuurbier erkannt, einem niederländischen Internetunternehmer, der einen Vertrag mit der Verwaltung der malischen Landesdomain hat.
Zuurbier sammelt seit Januar fehlgeleitete E-Mails, um die USA davon zu überzeugen, das Problem ernst zu nehmen. Er verfügt über fast 117.000 fehlgeleitete Nachrichten – allein am Mittwoch kamen fast 1.000 an. In einem Brief, den er Anfang Juli an die USA schickte, schrieb Zuurbier: „Dieses Risiko ist real und könnte von Gegnern der USA ausgenutzt werden.“
Die Kontrolle über die .ML-Domain geht am Montag von Zuurbier an die malische Regierung zurück, die eng mit Russland verbündet ist. Wenn Zuurbiers zehnjähriger Managementvertrag ausläuft, können die malischen Behörden die fehlgeleiteten E-Mails einsammeln. Die malische Regierung reagierte nicht auf Anfragen nach Kommentaren.
Zuurbier, Geschäftsführer von Mali Dili mit Sitz in Amsterdam, hat sich wiederholt an US-Beamte gewandt, unter anderem über einen Verteidigungsattaché in Mali, einen leitenden Berater des US-amerikanischen National Cyber Security Service und sogar über Beamte des Weißen Hauses.
Bei einem Großteil des E-Mail-Verkehrs handelt es sich um Spam, und keiner ist als klassifiziert gekennzeichnet. Einige Nachrichten enthalten jedoch hochsensible Daten über im Dienst befindliches US-Militärpersonal, Auftragnehmer und deren Familien.
Zu ihren Inhalten gehören Röntgenbilder und medizinische Daten, Informationen zu Ausweisdokumenten, Besatzungslisten für Schiffe, Personallisten auf Stützpunkten, Karten von Anlagen, Fotos von Stützpunkten, Marineinspektionsberichte, Verträge, Strafanzeigen gegen Personal, interne Ermittlungen wegen Mobbing, Dienstreisen Reiserouten, Buchungen sowie Steuer- und Finanzunterlagen.
Mike Rogers, ein pensionierter amerikanischer Admiral, der früher die National Security Agency und das Cyber Command der US-Armee leitete, sagte: „Wenn Sie über diese Art von dauerhaftem Zugriff verfügen, können Sie Informationen sogar nur aus nicht klassifizierten Informationen generieren.“
„Das ist nicht ungewöhnlich“, fügte er hinzu. „Es ist nicht ungewöhnlich, dass Menschen Fehler machen, aber die Frage ist das Ausmaß, die Dauer und die Sensibilität der Informationen.“
Eine fehlgeleitete E-Mail in diesem Jahr enthielt die Reisepläne für General James McConville, den Stabschef der US-Armee, und seine Delegation für einen bevorstehenden Besuch in Indonesien im Mai.
Die E-Mail enthielt eine vollständige Liste der Zimmernummern, den Reiseplan für McConville und 20 weitere Personen sowie Einzelheiten zur Abholung von McConvilles Zimmerschlüssel im Grand Hyatt Jakarta, wo er ein VIP-Upgrade in eine Grand Suite erhielt.
Rogers warnte davor, dass die Übergabe der Kontrolle an Mali ein erhebliches Problem darstelle. „Es ist eine Sache, wenn man es mit einem Domänenadministrator zu tun hat, der – wenn auch erfolglos – versucht, seine Bedenken zu artikulieren“, sagte Rogers. „Es ist etwas anderes, wenn es eine ausländische Regierung ist, die …“ . . sieht darin einen Vorteil, den sie nutzen können.“
Lt. Commander Tim Gorman, ein Sprecher des Pentagons, sagte, das Verteidigungsministerium sei sich „dieser Angelegenheit bewusst und nehme alle unbefugten Offenlegungen kontrollierter nationaler Sicherheitsinformationen oder kontrollierter, nicht klassifizierter Informationen ernst“.
Er sagte, dass E-Mails, die direkt von der .mil-Domain an malische Adressen gesendet werden, „blockiert werden, bevor sie die .mil-Domain verlassen, und der Absender benachrichtigt wird, dass er die E-Mail-Adressen der vorgesehenen Empfänger validieren muss“.
Als Zuurbier – der ähnliche Operationen für Tokelau, die Zentralafrikanische Republik, Gabun und Äquatorialguinea geleitet hat – im Jahr 2013 den Mali-Ländercode annahm, bemerkte er schnell Anfragen nach Domains wie army.ml und navy.ml, die es nicht gab . Da er vermutete, dass es sich tatsächlich um E-Mails handelte, richtete er ein System ein, um solche Korrespondenz abzufangen, das schnell überlastet war und keine Nachrichten mehr sammelte.
Zuurbier sagt, dass er, nachdem er erkannt hatte, was vor sich ging, und einen Rechtsbeistand eingeholt hatte, wiederholte Versuche unternommen habe, die US-Behörden zu alarmieren. Er sagte der Financial Times, dass er seiner Frau eine Kopie der Rechtsberatung gegeben habe, „nur für den Fall, dass die schwarzen Hubschrauber in meinem Hinterhof landen“.
Zu seinen Bemühungen, Alarm zu schlagen, gehörte 2014 die Teilnahme an einer Handelsmission aus den Niederlanden, um die Hilfe niederländischer Diplomaten zu gewinnen. Im Jahr 2015 unternahm er einen weiteren vergeblichen Versuch, die US-Behörden zu alarmieren. Zuurbier begann in diesem Jahr erneut damit, falsch adressierte E-Mails zu sammeln, um das Pentagon endgültig zu alarmieren.
Der Datenfluss zeigt einige systematische Leckquellen. Reisebüros, die für das Militär arbeiten, schreiben E-Mails regelmäßig falsch. Auch das Versenden von E-Mails zwischen den eigenen Konten durch Mitarbeiter ist ein Problem.
Ein FBI-Agent mit Marinefunktion versuchte, sechs Nachrichten an seine militärische E-Mail-Adresse weiterzuleiten – und schickte sie versehentlich nach Mali. Eine davon enthielt einen dringenden diplomatischen Brief der Türkei an das US-Außenministerium über mögliche Operationen der militanten Arbeiterpartei Kurdistans (PKK) gegen türkische Interessen in den USA.
Dieselbe Person leitete auch eine Reihe von Briefings über den inländischen US-Terrorismus mit der Aufschrift „Nur für den offiziellen Gebrauch“ und eine globale Bewertung der Terrorismusbekämpfung mit der Überschrift „Nicht für die Öffentlichkeit oder ausländische Regierungen weiterzugeben“ weiter. Ein „sensibles“ Briefing über die Bemühungen des iranischen Korps der Islamischen Revolutionsgarden, iranische Studenten und die Messaging-App Telegram für Spionage in den USA zu nutzen, war ebenfalls enthalten.
Gorman sagte gegenüber der FT: „Obwohl es nicht möglich ist, technische Kontrollen zu implementieren, die die Verwendung persönlicher E-Mail-Konten für Regierungsgeschäfte verhindern, bietet die Abteilung weiterhin Anweisungen und Schulungen für das Personal des Verteidigungsministeriums.“
Rund ein Dutzend Personen forderten fälschlicherweise die Übermittlung von Wiederherstellungspasswörtern für ein Geheimdienstsystem nach Mali an. Andere schickten die Passwörter, die für den Zugriff auf Dokumente erforderlich waren, die im Secure Access File Exchange des Verteidigungsministeriums gehostet wurden. Die FT hat nicht versucht, die Passwörter zu verwenden.
Viele E-Mails stammen von privaten Auftragnehmern, die mit dem US-Militär zusammenarbeiten. Zwanzig routinemäßige Aktualisierungen des Verteidigungsunternehmens General Dynamics im Zusammenhang mit der Produktion von Granaten-Übungspatronen für die Armee.
Einige E-Mails enthalten Passnummern, die von der Special Issuances Agency des Außenministeriums gesendet wurden, einer Einrichtung, die Dokumente an Diplomaten und andere Personen ausstellt, die auf offiziellen Geschäftsreisen für die USA reisen.
Die niederländische Armee nutzt die Domain army.nl, einen Tastendruck entfernt von army.ml. Es gibt mehr als ein Dutzend E-Mails von niederländischem Militärpersonal, in denen es um Diskussionen mit italienischen Kollegen über eine Munitionsabholung in Italien und detaillierte Gespräche über niederländische Apache-Hubschrauberbesatzungen in den USA ging.
Weitere Themen waren Diskussionen über künftige militärische Beschaffungsoptionen und eine Beschwerde über die potenzielle Anfälligkeit einer niederländischen Apache-Einheit für Cyberangriffe.
Das niederländische Verteidigungsministerium antwortete nicht auf eine Bitte um Stellungnahme.
Acht E-Mails des australischen Verteidigungsministeriums, die für US-amerikanische Empfänger bestimmt waren, gingen verloren. Dazu gehörten eine Präsentation über Korrosionsprobleme bei australischen F-35 und ein Artilleriehandbuch, das „von den Kommandopostenoffizieren für jede Batterie mitgeführt wird“.
Das australische Verteidigungsministerium sagte, es äußere sich „nicht zu Sicherheitsfragen“.